防火牆強化套件fail2ban之安裝與設定

IT_man · 發表於 2016-4-9 12:53:54

本帖最後由 IT_man 於 2016-4-9 22:36 編輯

我的環境:
CentOS 6.7 這是RedHat系列的發行版本，與Fedora同系。（發行版本的資料會記錄在 /etc/redhat-release）
1.用yum安裝fail2ban
yum -y install fail2ban (yum安裝的歷程會記錄在 /var/log/yum 中。如有需要確認已安裝的套件，可以回頭查詢這個記錄檔。)

如果上述步驟不能安裝fail2ban,那麼yum會顯示找不到該套件的時候，你需要進入這個步驟。

yum會掃描套件庫來決定要如何安裝套件。然而由於fail2ban並不在預設的套件庫中，所以我們必須手動加入含有fail2ban的套件庫atrpms。

請編輯 /etc/yum.repos.d/CentOS-Base.repo ：

vi /etc/yum.repos.d/CentOS-Base.repo
在最後加入以下設定：

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

2. 設定fail2ban
主要有兩個設定檔：/etc/fail2ban/fail2ban.conf 跟 /etc/fail2ban/jail.conf
vi /etc/fail2ban/fail2ban.conf
修改 logtarget 的參數:

#預設的參數+ f; F+ y+ P* ^8 K
#logtarget = SYSLOG l/ f; ]$ [" n3 V
#調整後的參數0 L3 n" Y3 R" y& A* A
logtarget = /var/log/fail2ban.log

複製代碼

vi /etc/fail2ban/jail.conf (fail2ban主要的設定檔)

#預設的參數
; j4 u& _: s8 N4 ~
#backend = auto
1 c2 U4 t) v+ `2 ^8 n) K
#調整後的參數
- e t; e/ C/ }" ^, F0 Z+ r4 `$ p
backend = gamin

複製代碼

gamin是Linux的套件之一。如果缺少你可以用yum來安裝它

[ssh-iptables]
1 [# g- Z) r+ i' Y' d( k: ~
#是否啟用
" O6 p. z2 J9 D* {# U3 `6 P' [# G
enabled = true
/ U" d' S7 v( N5 I' V0 \2 Z
#過濾名稱，使用預設的即可
, s2 h1 `6 N. ?; [7 l/ [# h
filter = sshd
& }5 j. S v" R+ A) {1 g+ K# Y
#iptables設定4 B8 C$ q3 T' U: l% S- g' }/ \
action = iptables[name=SSH, port=22022, protocol=tcp]
! d* ?. v$ z( ?. v- X- O3 I/ g c
#發生阻擋時的寄信設定
* L; k6 q: K8 V" Q2 c0 {
sendmail-whois[name=SSH, dest=xxxx@gmail.com, sender=root@xxxx.com]+ {$ x$ i4 l& P
/ Y s% r( Y$ d7 s8 b( [. f8 c
#需要掃描的記錄檔5 @1 u, `* v8 x4 q
logpath = /var/log/secure; B/ X7 f6 ^& t3 K3 T
#最高嘗試錯誤次數
9 v H+ B0 s2 o& j; I* Z
maxretry = 27 B. Q3 S* c' [, C& e' u
#阻擋的時間，-1表示永久阻擋
4 Y6 L5 g( y. R2 q" ^$ S8 Q$ A
bantime = -1

複製代碼

讓fail2ban重新啟動時不會重設阻擋IP規則
在預設的設定中，fail2ban每次重新啟動時都會遺忘被阻擋的IP設定。舉例來說，如果我的電腦因為登入失敗被fail2ban擋掉，那麼只要fail2ban重新啟動，那麼我的電腦又可以繼續嘗試登入server。
如果要讓fail2ban重新啟動時，不會重設阻擋的IP規則，則修改 /etc/init.d/fail2ban 的內容。
vi /etc/init.d/fail2ban
找到start()的區塊，加入以下有#註解的設定：

start() {/ ?/ m& X8 j6 ?6 f1 S3 e' t5 a
echo -n [ DISCUZ_CODE_3 ]quot;Starting fail2ban: "8 ~- \. _& W# A, ^, w' t) ~
getpid
^, i" p4 W' N3 y- n
if [ -z "$pid" ]; then
: ?3 F8 d: W1 R' y; v1 y2 u' g
rm -rf /var/run/fail2ban/fail2ban.sock # unclean in case of restart fal2ban! x7 s' V W- D, [, p' k$ U! K
$FAIL2BAN -x start > /dev/null
" Q9 G7 f* f- a4 q5 \; e
RETVAL=$?
% [; X7 s% Z# h; f
fi! s& z) i7 G* T, v) p, f
if [ $RETVAL -eq 0 ]; then# k6 z. _2 w( v i
touch /var/lock/subsys/fail2ban" f K4 W0 @1 _; C/ @
echo_success
' R. o. W8 `0 M. }5 ?# L. M
/sbin/service iptables restart # reloads previously banned ip's. R0 C! r, w A) X/ T' P
else
+ S, U9 i8 E+ U# U9 W' B1 \
echo_failure7 t& n/ V" l3 ^ B5 B' V
fi
/ g0 ?3 \ w4 z+ B
* {' X* X) B; d' U
echo
$ R3 _- P% ]4 T' o, O6 T9 X
return $RETVAL, e. k; {1 G! J/ f* M
}

複製代碼

再找到stop()區塊，加入以下有#註解的設定：

stop() {
Z0 ]1 f, ~7 e( a, H
echo -n [ DISCUZ_CODE_4 ]quot;Stopping fail2ban: "
9 E V+ l( }+ R% Y1 Y0 M
getpid. o3 _7 l8 I, S2 c: l/ ]( q+ p1 G& z
RETVAL=$?8 }( s8 h) i$ [. |+ ~
if [ -n "$pid" ]; then1 \$ h6 H, H6 U
/sbin/service iptables save # saves banned ip's
( L+ \4 }0 Y/ m$ H @8 X
$FAIL2BAN stop > /dev/null
( t1 j' T; i/ e0 v) C% a6 k
sleep 1* O+ {& y1 w5 u* g: p
getpid
( U5 ]1 P4 d4 J2 E' {, S2 C
if [ -z "$pid" ]; then
0 m0 L, P3 L) I4 o* O# A- Y% I" Z
rm -f /var/lock/subsys/fail2ban% Y# x h% N p7 t6 Q& e$ W
echo_success
: t8 ?' {$ j( r
else
, a# S9 a! e( [: Z" `
echo_failure- N* ?; K; u2 L$ E3 I* ?& i
fi
0 Q$ P" b8 |1 [) l& a: |- E
else9 t+ ?/ J0 K5 i; L3 B( U
echo_failure6 w5 D5 S+ w& f9 V1 k. j
fi( v8 h J( b% ~
echo
* a* H: y1 \: }! i+ ]& M; R
return $RETVAL

複製代碼

3. 設定fail2ban開機順序

chkconfig --add fail2ban

p.s
以上參考 :
http://blog.pulipuli.info/2011/07/centosfail2ban.html
http://www.vixual.net/blog/archives/252

		自動登錄	找回密碼
密碼			立即註冊

[防火牆] 防火牆強化套件fail2ban之安裝與設定

瀏覽過的版塊